JP4615308B2 - Cryptographic apparatus and method, and cryptographic system - Google Patents

Cryptographic apparatus and method, and cryptographic system Download PDF

Info

Publication number
JP4615308B2
JP4615308B2 JP2004504450A JP2004504450A JP4615308B2 JP 4615308 B2 JP4615308 B2 JP 4615308B2 JP 2004504450 A JP2004504450 A JP 2004504450A JP 2004504450 A JP2004504450 A JP 2004504450A JP 4615308 B2 JP4615308 B2 JP 4615308B2
Authority
JP
Japan
Prior art keywords
encryption
data
terminal
layer
decryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2004504450A
Other languages
Japanese (ja)
Other versions
JPWO2003096612A1 (en
Inventor
誠 井澤
宏光 成田
明 岡本
Original Assignee
オニシックス グループ エルエー エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by オニシックス グループ エルエー エルエルシー filed Critical オニシックス グループ エルエー エルエルシー
Publication of JPWO2003096612A1 publication Critical patent/JPWO2003096612A1/en
Application granted granted Critical
Publication of JP4615308B2 publication Critical patent/JP4615308B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/10Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols with particular housing, physical features or manual controls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/02Details
    • H04L12/22Arrangements for preventing the taking of data from a data transmission channel without authorisation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0464Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload using hop-by-hop encryption, i.e. wherein an intermediate entity decrypts the information and re-encrypts it before forwarding it
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms

Description

本発明は暗号装置および方法、暗号システムに関し、特に、ネットワーク上で外部から攻撃されることによる情報の盗聴や改ざん等のリスクを低減するために情報の暗号化/復号化を行う装置および方法、これを適用したシステムに用いて好適なものである。   The present invention relates to an encryption apparatus and method, and an encryption system, and more particularly to an apparatus and method for performing encryption / decryption of information in order to reduce the risk of eavesdropping or falsification of information due to an external attack on a network, It is suitable for use in a system to which this is applied.

パーソナルコンピュータ(パソコン)をスタンドアロンで用いる場合は、パソコン内部の情報が盗み出されたり、改ざんされたり、破壊されたりする危険性は少ない。しかし、パソコンをインターネット等のネットワークに接続すると、やり取りされる情報は多くのネットワークをルーティングされていくことから、その途中において盗聴や改ざん等の行われる危険性が一気に増大する。   When a personal computer (personal computer) is used as a stand-alone, there is little risk that information inside the personal computer will be stolen, altered, or destroyed. However, when a personal computer is connected to a network such as the Internet, the exchanged information is routed through many networks, so that the risk of eavesdropping and tampering in the middle increases at a stretch.

この問題を解決するための仕組みの1つとして、情報の暗号化がある。すなわち、送信側のパソコンで情報を暗号化して相手に送り、受信側のパソコンでこれを復号化して利用する。このようにすれば、ネットワークの途中で情報が盗聴されたとしても、情報が暗号化されているために、情報自体が見られる可能性が少なくなる。また、改ざんのリスクも低減される。   One mechanism for solving this problem is information encryption. That is, the information is encrypted by the sending personal computer and sent to the other party, and the information is decrypted and used by the receiving personal computer. In this way, even if information is eavesdropped in the middle of the network, since the information is encrypted, the possibility that the information itself can be seen is reduced. In addition, the risk of tampering is reduced.

しかしながら、暗号を利用するためには、暗号通信しようとする端末の全てに専用の暗号ソフトをインストールし、様々な設定をしなければならない。ところが、各種端末が接続されるネットワークは、インターネットの他に、企業内のLAN(Local Area Network)なども存在する。そのLAN内には、プリンタやファクシミリなど物理的に暗号ソフトをインストールできない端末や、プリントサーバやデータベースサーバなど動作安定上等の問題から余分なソフトをインストールすることが好ましくない端末、OS(オペレーティングシステム)がなく単なるネットワークターミナルとして機能する端末なども存在する。そのため、一般的に企業内LANの中では、暗号を利用することは難しかった。   However, in order to use encryption, it is necessary to install dedicated encryption software on all terminals to be encrypted and make various settings. However, a network to which various terminals are connected includes a LAN (Local Area Network) in a company in addition to the Internet. In the LAN, terminals such as printers and facsimiles where encryption software cannot be physically installed, terminals such as print servers and database servers where it is not preferable to install extra software due to operational stability problems, OS (operating system) There is also a terminal that functions as a simple network terminal. For this reason, it is generally difficult to use encryption in a corporate LAN.

ところが、LANの多くはインターネットに接続されており、必要に応じてLAN内のパソコンからインターネットにアクセスして情報のやり取りを行うことができるようになっている。しかし、このようにLANがインターネットに接続されていると、外部からの不正侵入や攻撃によって、LAN内部の機密情報が盗まれたり改ざんされたりする危険性が出てくる。   However, most LANs are connected to the Internet, and information can be exchanged by accessing the Internet from a personal computer in the LAN as needed. However, when the LAN is connected to the Internet in this way, there is a risk that confidential information inside the LAN will be stolen or tampered with by unauthorized intrusion or attack from the outside.

そこで、アクセス権を持たない第三者がLAN内に不正に侵入するのを防ぐために、ファイアウォールが利用される。ファイアウォールは、一般的には1台のサーバをLANとインターネットとの接続部に用い、ここで専用のソフトウェアを動作させることによって機能する。しかし、ファイアウォールを設置しても、ネットワーク上に存在するセキュリティホールを攻撃することによって不正侵入が行われることが少なくない。一旦不正侵入が行われると、内部の情報は暗号化されていないため、盗聴や改ざんが容易にできてしまうという問題があった。   Therefore, a firewall is used to prevent a third party who does not have access right from entering the LAN illegally. A firewall generally functions by using a single server as a connection between a LAN and the Internet and operating dedicated software. However, even if a firewall is installed, unauthorized intrusion is often performed by attacking a security hole on the network. Once an illegal intrusion has been made, there is a problem that since the internal information is not encrypted, eavesdropping and tampering can be easily performed.

なお、従来、インターネット上に流れるデータをルーティングする中継機であるルータに暗号機能を持たせたものが存在する。例えばVPN(Virtual Private Network)ルータがそれである。このVPNルータを用いれば、端末に専用の暗号ソフトをインストールしなくても、VPNルータ間で暗号通信を行うことが可能となる。   Conventionally, a router that is a relay device for routing data flowing on the Internet has an encryption function. For example, a VPN (Virtual Private Network) router. If this VPN router is used, it becomes possible to perform encrypted communication between VPN routers without installing dedicated encryption software on the terminals.

しかしながら、このVPNルータは、インターネットを利用して複数のLANを接続するために設けられる仮想専用線上の中継機として用いられるものである。そのため、LANどうしがやり取りする情報を途中のインターネット上において暗号化することはできるが、LAN内において情報を暗号化することはできないという問題があった。   However, this VPN router is used as a relay on a virtual private line provided for connecting a plurality of LANs using the Internet. Therefore, there is a problem that information exchanged between LANs can be encrypted on the Internet on the way, but information cannot be encrypted in the LAN.

また、VPNルータにおいて暗号化を行うためには、ルータが必ず通信用のIPアドレスを持つことが必要となる。以下に、このことについて図1を用いて説明する。図1は、従来のVPNルータおよびこれに接続されるパソコンにおけるプロトコルの階層構造を示す図である。   Further, in order to perform encryption in the VPN router, it is necessary for the router to always have an IP address for communication. This will be described below with reference to FIG. FIG. 1 is a diagram showing a hierarchical structure of protocols in a conventional VPN router and a personal computer connected thereto.

図1に示すように、通信しようとする2台のパソコン101,102はそれぞれ1つのポート105,106を有し、その中継機となるVPNルータ103,104はそれぞれ2つのポート(107,108),(109,110)を有している。VPNルータ103の各ポート107,108に対してOSI参照モデルの物理層、MAC層(データリンク層)、IP−Secが個別に設けられ、各ポート107,108に共通なものとしてIP層(ネットワーク層)、TCP/UDP層(トランスポート層)が設けられている。VPNルータ104の各ポート109,110についても同様である。   As shown in FIG. 1, the two personal computers 101 and 102 to be communicated each have one port 105 and 106, and the VPN routers 103 and 104 serving as relays thereof have two ports (107 and 108), respectively. , (109, 110). The physical layer, MAC layer (data link layer), and IP-Sec of the OSI reference model are individually provided for the ports 107 and 108 of the VPN router 103, and the IP layer (network) is common to the ports 107 and 108. Layer) and a TCP / UDP layer (transport layer). The same applies to the ports 109 and 110 of the VPN router 104.

層が深くなるほどユーザからは遠くなり、逆に層が浅くなるほどユーザに近くなる。各パソコン101,102のIP層よりも上位層には、TCP/UDP層およびアプリケーション層(共に図示せず)が存在し、ユーザが使用するアプリケーションと下の層との橋渡しが行われる。   The deeper the layer, the farther away from the user, and vice versa. A TCP / UDP layer and an application layer (both not shown) exist above the IP layer of each of the personal computers 101 and 102, and a bridge between the application used by the user and the lower layer is performed.

データの送信側では、上位層から下位層に向かって各層を通過するごとにデータが変換されるとともに、それぞれの層間でデータ伝送を可能にするためのヘッダが付加されていく。逆に、データの受信側では、各層宛てのヘッダを参照して各層で必要なデータが抽出される。そして、抽出されたデータは上位層へ引き渡され、最終的にアプリケーション層を介してユーザに届けられる。   On the data transmission side, data is converted every time it passes through each layer from the upper layer to the lower layer, and a header for enabling data transmission between the layers is added. Conversely, on the data receiving side, necessary data is extracted in each layer with reference to the header addressed to each layer. Then, the extracted data is delivered to the upper layer and finally delivered to the user via the application layer.

以下に、それぞれの層の機能について説明する。TCP/UDP層は、データを渡すべきアプリケーションの特定や、パケットの状態の管理などを行うレイヤである。データ送信側においては、上位層(アプリケーション層)から渡されたデータを相手のどのアプリケーションに渡すべきかを認識し、宛先ポート番号をデータに付加して下位層(ネットワーク層)に渡す。一方、データ受信側においては、下位層から渡されたパケットについて、通信の状態等によって抜けが生じていないかどうかを監視する。   The function of each layer will be described below. The TCP / UDP layer is a layer that performs identification of an application to which data is to be passed, management of a packet state, and the like. The data transmission side recognizes to which application the data passed from the upper layer (application layer) should be passed, adds the destination port number to the data, and passes it to the lower layer (network layer). On the other hand, the data receiving side monitors whether or not a packet passed from the lower layer is missing due to the communication state or the like.

IP層は、複数のネットワークにまたがった端末間のデータ転送あるいはデータ中継に関する取り決めや制御を行うためのレイヤである。通信相手となる送信側と受信側のパソコン101,102にはそれぞれ異なるIPアドレス(1),(6)が割り振られており、これらを明確にすることによって、end to endによる論理的な通信経路が決定する。2つのポート(107,108),(109,110)を有するVPNルータ103,104の場合、IPアドレスはポート毎に別個に割り振られる。   The IP layer is a layer for performing arrangements and control related to data transfer or data relay between terminals over a plurality of networks. Different IP addresses (1) and (6) are assigned to the personal computers 101 and 102 on the transmission side and the reception side, which are communication partners, and by clarifying them, a logical communication path by end to end Will be determined. In the case of the VPN routers 103 and 104 having two ports (107, 108) and (109, 110), the IP address is allocated separately for each port.

MAC(Media Access Control)層は、隣接機器のノード間で信頼性の高いデータ伝送を保証するためのレイヤであり、製造段階で各機器に割り当てられた物理的なMACアドレスを有する。データ送信側においては、IP層で通信相手のIPアドレスが明確になると、その下位に位置するMAC層において、確立された相手のIPアドレスをもとに、経由する次の機器(物理的に接続されている隣接ノード)の宛先を決定する。一方、データ受信側においては、MACアドレスをもとに自分宛のパケットであることを認識した後、その上位層のIP層でIPアドレスを解析し、そのパケットを他の機器に対して更にルーティングするか自分に取り込むかを判断する。   The MAC (Media Access Control) layer is a layer for assuring reliable data transmission between nodes of adjacent devices, and has a physical MAC address assigned to each device in the manufacturing stage. On the data transmission side, when the IP address of the communication partner is clarified in the IP layer, the next device (physically connected) is routed based on the established partner's IP address in the MAC layer located below it. Destination of the adjacent node) is determined. On the other hand, on the data receiving side, after recognizing that the packet is addressed to itself based on the MAC address, the IP address of the higher layer is analyzed, and the packet is further routed to other devices. Determine whether you want to do it or incorporate it into yourself.

物理層は、上位層から渡されたデータを電気信号や光信号に変換し、同軸ケーブルや光ファイバケーブル等の伝送媒体111を介して実際のデータ伝送を行ったり、伝送媒体111から送られてきた電気信号や光信号を上位層で認識可能なデータに変換し、それを上位層に渡したりするためのレイヤである。物理層の上位層であるMAC層では、物理層の通信インタフェースに依存した手法に従って上述の処理を行う。   The physical layer converts the data passed from the upper layer into an electric signal or an optical signal, and performs actual data transmission via the transmission medium 111 such as a coaxial cable or an optical fiber cable, or is sent from the transmission medium 111. It is a layer for converting electrical signals and optical signals into data that can be recognized by the upper layer and passing it to the upper layer. In the MAC layer, which is an upper layer of the physical layer, the above processing is performed according to a method depending on the communication interface of the physical layer.

IP−Secは、データの暗号化処理および復号化処理を行う機能部である。すなわち、MAC層からIP層に渡されるデータを取得して、当該データの暗号化処理および暗号の復号化処理を行う。   IP-Sec is a functional unit that performs data encryption processing and decryption processing. That is, the data passed from the MAC layer to the IP layer is acquired, and the data is encrypted and decrypted.

このような階層構造を有するVPNルータ103,104を用いてパソコン101,102間で暗号通信を行う場合、VPNルータ103では、例えば一方のパソコン101から他方のパソコン102宛てに送られてきたIPパケットを第1のポート107で受信し、IP層までパケットを順次引き渡して分解する。このとき、パケット中から抽出したデータをIP−Secで暗号化する。そして、パケットヘッダ中に含まれている宛先IPアドレスをもとに、ルータ自身が持つルーティングテーブルを参照して次の転送ノードを決定し、IP層から物理層へと再度パケットを組み立てて第2のポート108から送出する。   When cryptographic communication is performed between the personal computers 101 and 102 using the VPN routers 103 and 104 having such a hierarchical structure, the VPN router 103 transmits, for example, an IP packet sent from one personal computer 101 to the other personal computer 102. Are received by the first port 107, and the packets are sequentially delivered to the IP layer for decomposition. At this time, the data extracted from the packet is encrypted with IP-Sec. Then, based on the destination IP address included in the packet header, the next forwarding node is determined by referring to the routing table of the router itself, the packet is assembled again from the IP layer to the physical layer, and the second Is sent from the port 108.

VPNルータ103の第2のポート108から出力された暗号化パケットは、VPNルータ104の第1のポート109で受信される。VPNルータ104は、受信した暗号化パケットをIP層まで順次引き渡して分解し、パケット中から抽出したデータをIP−Secで復号化する。そして、パケットヘッダ中に含まれている宛先IPアドレスをもとに、ルータ自身が持つルーティングテーブルを参照して次の転送ノードを決定し、IP層から物理層へと再度パケットを組み立てて第2のポート110から送出する。   The encrypted packet output from the second port 108 of the VPN router 103 is received by the first port 109 of the VPN router 104. The VPN router 104 sequentially transfers the received encrypted packets to the IP layer and decomposes them, and decrypts the data extracted from the packets by IP-Sec. Then, based on the destination IP address included in the packet header, the next forwarding node is determined by referring to the routing table of the router itself, the packet is assembled again from the IP layer to the physical layer, and the second Is sent from the port 110.

この第2のポート110から出力されたIPパケットは、パソコン102で受信される。この受信されたIPパケットは物理層、MAC層、IP層を介して上位層へと順次引き渡されて分解され、最終的に図示しないアプリケーション層を介してユーザにデータが届けられる。以上の手順により、パソコン101,102が暗号ソフトを備えていなくても、VPNルータ103,104間で暗号通信をすることが可能となる。   The IP packet output from the second port 110 is received by the personal computer 102. The received IP packet is sequentially transferred to an upper layer through the physical layer, the MAC layer, and the IP layer and decomposed, and finally data is delivered to the user through an application layer (not shown). According to the above procedure, it is possible to perform encrypted communication between the VPN routers 103 and 104 even if the personal computers 101 and 102 do not include encryption software.

図1に示したシステムの場合、VPNルータ103,104の両側に異なるネットワーク(パソコン101を有するネットワークAとパソコン102を有するネットワークB)が存在し、これが集まってインターネットを構成している。そのため、それぞれのネットワーク毎に異なるネットワークアドレスが割り振られる。よって、これらの異なるネットワーク間をルーティング(経路選択、場合によってパケットの破棄、パケットの分割あるいは統合等)するVPNルータ103,104も、異なるIPアドレスを持つことが必須であり、そのために煩雑なアドレス設定作業を行わなければならないという問題があった。   In the case of the system shown in FIG. 1, different networks (a network A having a personal computer 101 and a network B having a personal computer 102) exist on both sides of the VPN routers 103 and 104, and these constitute a network. Therefore, a different network address is assigned to each network. Therefore, it is essential that the VPN routers 103 and 104 that route (route selection, packet discard, packet division or integration, etc.) between these different networks also have different IP addresses. There was a problem that configuration work had to be done.

また、VPNルータ103,104では第1のポート107,109に接続されるネットワークと第2のポート108,110に接続されるネットワークは一般的に異なるものであり、そのためにポート毎に異なるIPアドレスを設定する必要がある。よって、VPNルータ103,104の入力と出力とでIPアドレスが変わってしまう。そのため、ネットワーク上にある端末間にVPNルータを挿入したり、あるいは端末間からVPNルータを外したりする際には、VPNルータ自身のアドレス設定を行うだけでなく、当該VPNルータに接続される端末のアドレス設定も変更する必要があり、各種の煩雑な作業を行わなければならないという問題があった。   Further, in the VPN routers 103 and 104, the network connected to the first ports 107 and 109 and the network connected to the second ports 108 and 110 are generally different, and therefore different IP addresses are used for each port. Need to be set. Therefore, the IP address changes depending on the input and output of the VPN routers 103 and 104. Therefore, when a VPN router is inserted between terminals on the network or when a VPN router is removed from between terminals, not only the address of the VPN router itself is set, but also the terminal connected to the VPN router. There is also a problem that various complicated operations must be performed.

例えば、図1の例においてVPNルータ103,104を接続しない状態で通信を行う場合は、パソコン101,102は同一のネットワーク内に存在することになるので、ネットワークアドレスが共に同じとなり、パソコン101,102間で直接の通信が可能である。この場合、パソコン101からパソコン102に送信するパケットのIPアドレスは、図2(a)のようになる。すなわち、送信側であるパソコン101の送信元IPアドレス(1)と、受信側であるパソコン102の宛先IPアドレス(6)のネットワークアドレスには、同じネットワークアドレスAを設定すれば良い。   For example, when communication is performed without connecting the VPN routers 103 and 104 in the example of FIG. 1, the personal computers 101 and 102 exist in the same network. Direct communication between 102 is possible. In this case, the IP address of the packet transmitted from the personal computer 101 to the personal computer 102 is as shown in FIG. That is, the same network address A may be set for the transmission source IP address (1) of the personal computer 101 on the transmission side and the network address of the destination IP address (6) of the personal computer 102 on the reception side.

これに対し、パソコン101とパソコン102との間にVPNルータ103,104を挿入した場合は、送信されるパケットのIPアドレスは図2(b)のようになる。すなわち、パソコン101,102は異なるネットワークに存在することになるので、送信元IPアドレス(1)と宛先IPアドレス(6)には、異なるネットワークアドレスA,Bを設定しなければならない。   On the other hand, when the VPN routers 103 and 104 are inserted between the personal computer 101 and the personal computer 102, the IP address of the transmitted packet is as shown in FIG. That is, since the personal computers 101 and 102 exist in different networks, different network addresses A and B must be set for the source IP address (1) and the destination IP address (6).

このように、パソコン101とパソコン102との間にVPNルータ103,104を挿入したり、あるいはその逆にVPNルータ103,104を取り外したりすると、パソコン101,102の属するネットワークが変わる。したがって、それに合わせて、パソコン101,102のデフォルトゲートウェイのアドレス(自分と異なるネットワークに対して通信をする場合の宛先IPアドレス(VPNルータ103,104のポート107,110))や、パソコン101,102の何れかのIPアドレスの設定を変更する必要が生じる。   As described above, when the VPN routers 103 and 104 are inserted between the personal computer 101 and the personal computer 102 or vice versa, the network to which the personal computers 101 and 102 belong is changed. Accordingly, the address of the default gateway of the personal computers 101 and 102 (destination IP address when communicating with a network different from itself (ports 107 and 110 of the VPN routers 103 and 104)) and the personal computers 101 and 102 are set accordingly. It is necessary to change the setting of any of the IP addresses.

以上のように、従来のVPNルータでは、その接続の有無によって透過性を保つことが困難であり、システムの導入時やメンテナンス時には多大な作業をしなければならないという問題があった。   As described above, in the conventional VPN router, it is difficult to maintain transparency depending on the presence or absence of the connection, and there is a problem that a great deal of work must be done at the time of system introduction and maintenance.

本発明は、このような問題を解決するために成されたものであり、専用の暗号ソフトをインストールできない端末を有する企業内LANの中でも暗号を利用して、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性を低減できるようにすることを目的とする。また、本発明は、アドレス設定などの煩雑な作業を行うことなく、企業内LANで暗号を利用できるようにすることを目的とする。   The present invention has been made in order to solve such problems. Even in an in-company LAN having a terminal on which dedicated encryption software cannot be installed, the LAN is used by unauthorized intrusion or attack from the outside using encryption. The purpose is to reduce the risk of the confidential information inside being stolen or altered. Another object of the present invention is to make it possible to use encryption in a corporate LAN without performing complicated work such as address setting.

本発明の暗号装置は、少なくとも1つのポートに暗号処理機能を有する端末(暗号ソフトがインストールされた端末の他、本発明の機能を有する他の暗号装置を含む)が直接または間接的に接続される複数のポートと、上記暗号処理機能を有する端末との間で暗号化によるセキュリティを終端するためにデータの暗号化処理および復号化処理を行う暗号/復号手段と、上記複数のポートのうち一のポートより入力され上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ネットワーク層でルーティング処理をすることなく他のポートにそのまま出力するブリッジ手段とを備え、上記ブリッジ手段は上記ネットワーク層より下層に存在することを特徴とする。 In the cryptographic apparatus of the present invention, terminals having cryptographic processing functions (including terminals installed with cryptographic software and other cryptographic apparatuses having the functions of the present invention) are connected directly or indirectly to at least one port. Encryption / decryption means for performing data encryption processing and decryption processing for terminating security by encryption between a plurality of ports and a terminal having the encryption processing function, and one of the plurality of ports is input from the port data encryption process or decryption process is performed by the encryption / decryption means, and a bridging means for output to the other ports without the routing process at the network layer, the bridge means Exists below the network layer .

本発明の他の態様では、上記暗号/復号手段は、上記暗号処理機能を有する端末との間では暗号化されたデータの通信を行うとともに、暗号処理機能を有しない端末との間では暗号化されていないデータの通信を行うために上記暗号化処理および上記復号化処理を行うことを特徴とする。   In another aspect of the present invention, the encryption / decryption means communicates encrypted data with a terminal having the cryptographic processing function and encrypts with a terminal having no cryptographic processing function. The encryption process and the decryption process are performed in order to perform communication of unprocessed data.

本発明の他の態様では、上記暗号/復号手段は、暗号処理機能を有する端末から送られてきた暗号化済みのデータを暗号処理機能を有しない他の端末に送信するときは、上記暗号化済みのデータを復号化して上記暗号処理機能を有しない他の端末に送信し、暗号処理機能を有しない端末から送られてきた未暗号化のデータを暗号処理機能を有する他の端末に送信するときは、上記未暗号化のデータを暗号化して上記暗号処理機能を有する他の端末に送信することを特徴とする。In another aspect of the present invention, the encryption / decryption means transmits the encrypted data sent from the terminal having the encryption processing function to the other terminal not having the encryption processing function. Decrypt already transmitted data and send it to another terminal that does not have the cryptographic processing function, and send unencrypted data sent from the terminal that does not have the cryptographic processing function to another terminal that has the cryptographic processing function In this case, the unencrypted data is encrypted and transmitted to another terminal having the encryption processing function.

本発明のその他の態様では、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される複数のポートと、上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行う暗号/復号手段と、上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにするブリッジ手段とを備え、上記ブリッジ手段は上記ネットワーク層より下層に存在することを特徴とする。 In another aspect of the present invention, a plurality of ports to which a terminal having a cryptographic processing function is directly or indirectly connected to at least one port, and a physical layer and a data link input from one of the plurality of ports Encryption / decryption means for performing encryption processing or decryption processing on data passed through the layer, and routing between the networks subjected to encryption processing or decryption processing by the encryption / decryption means Bridge means for outputting from other ports via the data link layer and the physical layer without passing to the network layer that performs control, and the bridge means exists below the network layer .

本発明の更に別の態様では、上記暗号化処理および上記復号化処理の制御に関する設定情報を記憶する設定情報記憶手段を備え、上記暗号/復号手段は、上記設定情報記憶手段に記憶されている設定情報と、上記一のポートより入力されたパケットに付加されているヘッダ情報とを照合して上記暗号化処理および上記復号化処理の制御を行うことを特徴とする。   In still another aspect of the present invention, the information processing apparatus includes setting information storage means for storing setting information related to the control of the encryption process and the decryption process, and the encryption / decryption means is stored in the setting information storage means. The encryption processing and the decryption processing are controlled by comparing setting information with header information added to a packet input from the one port.

また、本発明の暗号方法は、複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置において暗号化処理または復号化処理を行う方法であって、上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行い、これにより得られたデータを、ネットワーク層より下層に存在するブリッジ手段を介して、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにしたことを特徴とする。 Also, the encryption method of the present invention is a method of performing encryption processing or decryption processing in an encryption device having a plurality of ports and having a terminal having an encryption processing function connected to at least one port directly or indirectly. Then, encryption processing or decryption processing is performed on data input from one of the plurality of ports and passed through the physical layer and the data link layer, and the obtained data is transferred to the network. It is characterized in that the data is output from another port via the data link layer and the physical layer without passing to the network layer that performs routing control between networks via the bridge means existing below the layer.

また、本発明の暗号システムは、請求項1に記載の暗号装置と、上記暗号装置に対して無線または有線のネットワークを介して接続可能な暗号処理機能を有する端末とを備えたことを特徴とする。 According to another aspect of the present invention, there is provided an encryption system comprising: the encryption apparatus according to claim 1; and a terminal having an encryption processing function connectable to the encryption apparatus via a wireless or wired network. To do.

本発明の他の態様では、暗号処理機能を有する端末と、暗号処理機能を有しない端末と、暗号処理機能を有する端末と暗号処理機能を有しない端末との間に無線または有線のネットワークを介して接続可能な請求項2に記載の暗号装置とを備えたことを特徴とする。 In another aspect of the present invention, a terminal having an encryption processing function, a terminal not having an encryption processing function, and a terminal having an encryption processing function and a terminal not having an encryption processing function are connected via a wireless or wired network. And the encryption device according to claim 2, which is connectable .

本発明の他の態様では、上記ブリッジ手段はIP−Secによるブリッジであり、データ通信処理が上記ネットワーク層より下層において行われることを特徴とする。In another aspect of the present invention, the bridge means is an IP-Sec bridge, and data communication processing is performed in a layer lower than the network layer.

本発明は上述したように、暗号処理機能が導入された端末との間で暗号化によるセキュリティを終端するために暗号化処理および暗号の復号化処理を行う暗号/復号手段を備えて暗号装置を構成し、この暗号装置をネットワークを介して端末に接続するようにしたので、専用の暗号ソフトをインストールできない端末を有する企業内LANの中でも暗号を利用することができるようになり、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性を低減することができる。   As described above, the present invention includes an encryption device including encryption / decryption means for performing encryption processing and encryption decryption processing in order to terminate security by encryption with a terminal having an encryption processing function introduced. Since this encryption device is connected to a terminal via a network, it becomes possible to use encryption even in a corporate LAN having a terminal on which dedicated encryption software cannot be installed. It is possible to reduce the risk of confidential information inside the LAN being stolen or altered by intrusion or attack.

また、本発明では、暗号化処理または復号化処理が施されたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなく出力するようにしたので、データ通信時に暗号装置のIPアドレスを不要とすることができる。また、暗号装置の入力ポートと出力ポートとでIPアドレスが変わることがなくなるので、暗号装置のネットワーク上における接続の有無に関わりなく、IPアドレスの透過性を保つことができ、暗号装置に接続される端末のアドレス設定に関しても変更の必要をなくすことができる。これにより、アドレス設定などの煩雑な作業を行うことなく、企業内LANで暗号を利用することができるようになる。   Further, in the present invention, since the data subjected to the encryption process or the decryption process is output without being passed to the network layer for performing the routing control between the networks, the IP address of the encryption device is not required at the time of data communication. It can be. In addition, since the IP address does not change between the input port and the output port of the encryption device, the IP address can be kept transparent regardless of whether or not the encryption device is connected on the network. This also eliminates the need to change the address setting of the terminal. This makes it possible to use encryption in the corporate LAN without performing complicated operations such as address setting.

図1は、従来のVPNルータおよびこれに接続されるパソコンにおけるプロトコルの階層構造を示す図である。
図2は、従来システムにおいてネットワーク上を流れるパケットのIPアドレスについて説明するための図である。
図3は、本実施形態の暗号装置を適用した暗号システムの構成例を示す図である。
図4は、本実施形態の暗号装置を適用した暗号システムの他の構成例を示す図である。
図5は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。
図6は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。
図7は、本実施形態による暗号装置およびこれに接続されるDBサーバおよびパソコンにおけるプロトコルの階層構造を示す図である。
図8は、本実施形態においてネットワーク上を流れるパケットのIPアドレスについて説明するための図である。
図9は、本実施形態の暗号装置を流れるパケットのMACアドレスについて説明するための図である。
図10は、従来のVPNルータを流れるパケットのMACアドレスについて説明するための図である。 FIG. 1 is a diagram showing a hierarchical structure of protocols in a conventional VPN router and a personal computer connected thereto.
FIG. 2 is a diagram for explaining an IP address of a packet flowing on the network in the conventional system.
FIG. 3 is a diagram illustrating a configuration example of a cryptographic system to which the cryptographic apparatus according to the present embodiment is applied.
FIG. 4 is a diagram illustrating another configuration example of the cryptographic system to which the cryptographic apparatus according to the present embodiment is applied.
FIG. 5 is a diagram illustrating still another configuration example of the cryptographic system to which the cryptographic apparatus according to the present embodiment is applied.
FIG. 6 is a diagram illustrating still another configuration example of the cryptographic system to which the cryptographic apparatus according to the present embodiment is applied.
FIG. 7 is a diagram showing a hierarchical structure of protocols in the encryption apparatus according to the present embodiment, a DB server connected to the encryption apparatus, and a personal computer.
FIG. 8 is a diagram for explaining an IP address of a packet flowing on the network in the present embodiment.
FIG. 9 is a diagram for explaining a MAC address of a packet that flows through the encryption apparatus according to the present embodiment.
FIG. 10 is a diagram for explaining a MAC address of a packet flowing through a conventional VPN router.

以下、本発明の一実施形態を図面に基づいて説明する。
図3は、本実施形態の暗号装置を適用した暗号システムの全体構成例を示す図である。 Hereinafter, an embodiment of the present invention will be described with reference to the drawings.
FIG. 3 is a diagram illustrating an overall configuration example of a cryptographic system to which the cryptographic apparatus according to the present embodiment is applied.

図3において、1は本実施形態の暗号装置であり、2つのポートを有し、一方のポートにはネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスが接続され、他方のポートにはハブ5が接続されている。この暗号装置1は、ネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスと、ハブ5との間でデータの中継を行う。   In FIG. 3, reference numeral 1 denotes an encryption apparatus according to the present embodiment, which has two ports. One port is connected to devices such as the network printer 2, the DB server 3, and the network terminal 4, and the other port is connected to the other port. A hub 5 is connected. The encryption device 1 relays data between a hub 5 and devices such as a network printer 2, a DB server 3, and a network terminal 4.

ネットワークプリンタ2は、暗号ソフトを物理的にインストールできない端末である。DBサーバ3は、動作安定上等の問題から余分な暗号ソフトをインストールすることが好ましくない端末である。ネットワークターミナル4は、OSがなく暗号ソフトを動作させることができない端末である。したがって、これらの端末2〜4には暗号ソフトはインストールされていないものとする。   The network printer 2 is a terminal that cannot physically install encryption software. The DB server 3 is a terminal in which it is not preferable to install extra encryption software due to problems such as operational stability. The network terminal 4 is a terminal that has no OS and cannot operate encryption software. Therefore, it is assumed that encryption software is not installed in these terminals 2 to 4.

また、ハブ5は、物理層においてデータを中継する機器であり、上述した暗号装置1の他に、無線通信用のアクセスポイント6とデスクトップパソコン7とが接続されている。すなわち、この場合のハブ5は、暗号装置1と、アクセスポイント6およびデスクトップパソコン7との間でデータの中継を行う。   The hub 5 is a device that relays data in the physical layer. In addition to the encryption device 1 described above, an access point 6 for wireless communication and a desktop personal computer 7 are connected. That is, the hub 5 in this case relays data between the encryption device 1, the access point 6 and the desktop personal computer 7.

さらに、上記アクセスポイント6には、デスクトップパソコン8とラップトップパソコン9とが無線により接続されている。デスクトップパソコン7,8およびラップトップパソコン9には、データの暗号化および復号化を行うための暗号ソフトがインストール可能であり、実際にインストールされているものとする。   Further, a desktop personal computer 8 and a laptop personal computer 9 are connected to the access point 6 by radio. It is assumed that encryption software for encrypting and decrypting data can be installed in the desktop personal computers 7 and 8 and the laptop personal computer 9 and actually installed.

このように、本実施形態の暗号装置1は2つのポートを有し、一方のポートに対して暗号処理機能を有する端末であるパソコン7〜9が、ハブ5やアクセスポイント6を介して間接的に接続されている。また、他方のポートにはネットワークプリンタ2、DBサーバ3、ネットワークターミナル4が直接接続されている。そして、これらの暗号装置1、ネットワークプリンタ2、DBサーバ3、ネットワークターミナル4、ハブ5、アクセスポイント6、パソコン7〜9により1つの拠点ネットワークが構成されている。   As described above, the encryption apparatus 1 according to the present embodiment has two ports, and the personal computers 7 to 9 which are terminals having an encryption processing function for one port are indirectly connected via the hub 5 or the access point 6. It is connected to the. A network printer 2, a DB server 3, and a network terminal 4 are directly connected to the other port. The encryption device 1, the network printer 2, the DB server 3, the network terminal 4, the hub 5, the access point 6, and the personal computers 7 to 9 constitute one base network.

このような構成により、暗号ソフトがインストールされていないネットワークプリンタ2、DBサーバ3およびネットワークターミナル4と、暗号ソフトがインストールされているパソコン7〜9(これらのデバイス2〜4,7〜9は何れも本発明の端末に相当)との間で、暗号装置1、ハブ5およびアクセスポイント6を介してデータ通信が行われる。   With such a configuration, the network printer 2, the DB server 3 and the network terminal 4 in which the encryption software is not installed, and the personal computers 7 to 9 in which the encryption software is installed (these devices 2 to 4 and 7 to 9 are any Is also equivalent to the terminal of the present invention), and data communication is performed via the encryption device 1, the hub 5 and the access point 6.

その際、暗号装置1は、暗号ソフトがインストールされているパソコン7〜9との間では暗号化されたデータの通信を行うとともに、暗号ソフトがインストールされていない端末2〜4との間では暗号化されていないデータの通信を行うために暗号化処理および暗号の復号化処理を行う。   At that time, the encryption device 1 communicates encrypted data with the personal computers 7 to 9 on which the encryption software is installed, and encrypts with the terminals 2 to 4 on which the encryption software is not installed. Encryption processing and encryption decryption processing are performed in order to communicate unencrypted data.

例えば、デスクトップパソコン7からネットワークプリンタ2にデータを送出してプリントアウトするときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化し、ネットワークプリンタ2に送出する。   For example, when data is sent from the desktop personal computer 7 to the network printer 2 and printed out, the data is first encrypted using encryption software installed in the desktop personal computer 7 and supplied to the encryption device 1 via the hub 5. To do. Next, the encryption device 1 decrypts the received data and sends it to the network printer 2.

また、例えばDBサーバ3にて管理されているデータをラップトップパソコン9に取り込むときは、DBサーバ3は、与えられる要求に応じて該当するデータを暗号装置1に供給する。この暗号化されていないデータを受け取った暗号装置1は、そのデータを暗号化し、ハブ5およびアクセスポイント6を介してラップトップパソコン9に送信する。ラップトップパソコン9は、受け取ったデータを復号化し、所望の処理に利用する。   For example, when data managed by the DB server 3 is taken into the laptop personal computer 9, the DB server 3 supplies the corresponding data to the encryption device 1 in response to a given request. The encryption device 1 that has received the unencrypted data encrypts the data and transmits it to the laptop personal computer 9 via the hub 5 and the access point 6. The laptop personal computer 9 decrypts the received data and uses it for desired processing.

以上の説明から明らかなように、本実施形態の暗号装置1を用いることによって、専用の暗号ソフトをインストールできない端末2〜4を有する企業内LANの中でも、暗号を利用することが可能となる。これにより、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性が少ないセキュアなネットワーク10を構築することができる。   As is clear from the above description, by using the encryption device 1 of the present embodiment, encryption can be used even in an in-house LAN having terminals 2 to 4 where dedicated encryption software cannot be installed. As a result, it is possible to construct a secure network 10 with a low risk of confidential information inside the LAN being stolen or tampered with by unauthorized intrusion or attack from the outside.

なお、暗号装置1と各端末2〜4との間において暗号は利用できないが、これらを繋ぐケーブル11は物理的に短い配線であり、この部分が外部アタックされることによって盗聴や改ざんが行われる可能性は極めて低いので、セキュリティ上で特に問題となることはない。   In addition, although encryption cannot be used between the encryption apparatus 1 and each terminal 2-4, the cable 11 which connects these is a physically short wiring, and an eavesdropping and alteration are performed by this part being externally attacked. The possibility is extremely low, so there is no particular security problem.

図4は、本実施形態の暗号装置を適用した暗号システムの他の構成例を示す図である。なお、この図4において、図3に示した構成要素と同一の機能を有する構成要素には同一の符号を付している。図4に示すように、本実施形態の暗号装置1は、一方のポートにインターネット20が接続され、他方のポートにハブ5が接続されている。   FIG. 4 is a diagram illustrating another configuration example of the cryptographic system to which the cryptographic apparatus according to the present embodiment is applied. In FIG. 4, components having the same functions as those shown in FIG. 3 are given the same reference numerals. As shown in FIG. 4, in the encryption device 1 of the present embodiment, the Internet 20 is connected to one port, and the hub 5 is connected to the other port.

図4の場合、暗号装置1、ハブ5、アクセスポイント6、パソコン7〜9により1つの拠点ネットワークが構成されている。また、インターネット20の先には、図3に示したネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのように暗号ソフトをインストールできない端末、あるいは、パソコン7〜9のように暗号ソフトがインストールされた端末が複数台接続され、これらによって別の拠点ネットワークが構成されている。   In the case of FIG. 4, one base network is configured by the encryption device 1, the hub 5, the access point 6, and the personal computers 7 to 9. Further, encryption software is installed at the end of the Internet 20 such as the network printer 2, the DB server 3 and the network terminal 4 shown in FIG. Multiple terminals are connected to form another base network.

図3に示した例では、1台の暗号装置1に対して1台のデバイスが接続されており、1台のデバイスに関する暗号/復号処理を1台の暗号装置1が専用で行っていた。すなわち、図3に示す暗号装置1は、暗号ソフトがインストールされたパソコン7〜9と、暗号ソフトがインストールされていない1台のデバイスとの間に接続され、当該1台のデバイスに対して暗号化によるセキュリティを終端していた。   In the example illustrated in FIG. 3, one device is connected to one encryption device 1, and one encryption device 1 performs encryption / decryption processing related to one device exclusively. That is, the encryption device 1 shown in FIG. 3 is connected between the personal computers 7 to 9 on which the encryption software is installed and one device on which the encryption software is not installed, and encrypts the one device. Security was terminated.

これに対して、図4に示す例では、暗号装置1は、暗号ソフトがインストールされたパソコン7〜9と、インターネット20に接続された複数台のデバイスとの間に接続されている。上記複数台のデバイスは、図3に示したネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのように暗号ソフトがインストールされていなくても良いし、パソコン7〜9のように暗号ソフトがインストールされていても良い。このように、本実施形態の暗号装置1は、複数台のデバイスに対して暗号化によるセキュリティを終端することも可能である。この場合、暗号装置1は、接続されているデバイスの数だけデータパスを有し、それぞれのデバイス毎に異なる暗号鍵で暗号/復号処理を行う。   On the other hand, in the example shown in FIG. 4, the encryption device 1 is connected between the personal computers 7 to 9 installed with encryption software and a plurality of devices connected to the Internet 20. The plurality of devices need not be installed with encryption software such as the network printer 2, the DB server 3 and the network terminal 4 shown in FIG. 3, or installed with encryption software such as the personal computers 7-9. May be. As described above, the encryption apparatus 1 according to the present embodiment can also terminate security by encryption for a plurality of devices. In this case, the encryption device 1 has data paths as many as the number of connected devices, and performs encryption / decryption processing with different encryption keys for each device.

例えば、セキュアネットワーク10内のデスクトップパソコン7から、インターネット20を介して暗号ソフトを持たない外部デバイスにデータを送出するようなときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化し、インターネット20を介して外部デバイスに送出する。   For example, when data is sent from the desktop personal computer 7 in the secure network 10 to an external device that does not have encryption software via the Internet 20, data is first transmitted using the encryption software installed in the desktop personal computer 7. The data is encrypted and supplied to the encryption device 1 via the hub 5. Next, the encryption device 1 decrypts the received data and sends it to the external device via the Internet 20.

また、例えばインターネット20の先にある暗号ソフトを持たない外部デバイスにて管理されているデータをセキュアネットワーク10内のラップトップパソコン9に取り込むときは、当該外部デバイスは、与えられる要求に応じて該当するデータをインターネット20に送出する。この暗号化されていないデータを受け取った暗号装置1は、そのデータを暗号化し、ハブ5およびアクセスポイント6を介してラップトップパソコン9に送信する。ラップトップパソコン9は、受け取ったデータを復号化し、所望の処理に利用する。   For example, when data managed by an external device that does not have encryption software at the end of the Internet 20 is taken into the laptop personal computer 9 in the secure network 10, the external device corresponds to the request given. Data to be transmitted to the Internet 20. The encryption device 1 that has received the unencrypted data encrypts the data and transmits it to the laptop personal computer 9 via the hub 5 and the access point 6. The laptop personal computer 9 decrypts the received data and uses it for desired processing.

一方、セキュアネットワーク10内のデスクトップパソコン7から、インターネット20を介して暗号ソフトを有する外部デバイスにデータを送出するようなときは、まずデスクトップパソコン7にインストールされている暗号ソフトを用いてデータを暗号化し、ハブ5を介して暗号装置1に供給する。次に暗号装置1は、受け取ったデータを復号化することなく、インターネット20を介して外部デバイスに送出する。外部デバイスは、受け取ったデータを復号化し、所望の処理に利用する。   On the other hand, when data is sent from the desktop personal computer 7 in the secure network 10 to an external device having encryption software via the Internet 20, the data is first encrypted using the encryption software installed on the desktop personal computer 7. And supplied to the encryption device 1 via the hub 5. Next, the encryption apparatus 1 sends the received data to an external device via the Internet 20 without decrypting the received data. The external device decrypts the received data and uses it for desired processing.

逆に、インターネット20の先にある外部デバイスで暗号化されたデータをセキュアネットワーク10内のデスクトップパソコン7に送出するときも、暗号装置1は、インターネット20を介して外部デバイスより受け取ったデータを復号化することなく、暗号化された状態のままハブ5を介してデスクトップパソコン7に供給する。   Conversely, when data encrypted by an external device ahead of the Internet 20 is sent to the desktop personal computer 7 in the secure network 10, the encryption device 1 decrypts the data received from the external device via the Internet 20. Without being converted, the encrypted data is supplied to the desktop personal computer 7 via the hub 5.

このように、セキュアネットワーク10内の端末7〜9とインターネット20に接続された暗号ソフトを持たない外部デバイスとの間でデータ通信を行う場合でも、少なくともセキュアネットワーク10の内部については暗号による保護を利用することができる。また、インターネット20に接続された外部デバイスに暗号ソフトがインストールされている場合には、セキュアネットワーク10の外部にあるインターネット20上でも暗号を利用することができる。   In this way, even when data communication is performed between the terminals 7 to 9 in the secure network 10 and an external device that does not have encryption software connected to the Internet 20, at least the inside of the secure network 10 is protected by encryption. Can be used. If encryption software is installed in an external device connected to the Internet 20, the encryption can also be used on the Internet 20 outside the secure network 10.

なお、上記複数台のデバイスは、インターネット20を介して接続されている必要は必ずしもなく、暗号装置1に直接あるいはハブを介して接続しても良い。直接接続する場合、暗号装置1は2つ以上のポートを有することになる。   The plurality of devices do not necessarily have to be connected via the Internet 20, and may be connected to the encryption device 1 directly or via a hub. In the case of direct connection, the encryption device 1 has two or more ports.

図5は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。なお、この図5において、図3に示した構成要素と同一の機能を有する構成要素には同一の符号を付している。図5に示す例も図4の例と同様に、1台の暗号装置1が複数台のデバイスに対して暗号化によるセキュリティを終端する例である。   FIG. 5 is a diagram illustrating still another configuration example of the cryptographic system to which the cryptographic apparatus according to the present embodiment is applied. In FIG. 5, components having the same functions as those shown in FIG. 3 are given the same reference numerals. The example shown in FIG. 5 is also an example in which one encryption apparatus 1 terminates security by encryption for a plurality of devices, similarly to the example of FIG.

図5に示す例では、セキュアネットワーク10の内部は、3台のパソコン7〜9が全てアクセスポイント6に無線LANにて接続されている。アクセスポイント6は、暗号装置1を介してインターネット20に接続されている。   In the example shown in FIG. 5, the three personal computers 7 to 9 are all connected to the access point 6 via the wireless LAN inside the secure network 10. The access point 6 is connected to the Internet 20 via the encryption device 1.

図6は、本実施形態の暗号装置を適用した暗号システムの更に別の構成例を示す図である。上記図3〜図5では、本発明の暗号処理機能を有する端末の例として、暗号ソフトがインストールされたパソコン7〜9を挙げ、暗号装置1とパソコン7〜9との間で暗号化によるセキュリティを終端する例について説明した。暗号処理機能を有する端末はこの例に限らず、暗号装置1と同様の機能を有する他の暗号装置も含む。この場合の構成例を示したのが図6である。   FIG. 6 is a diagram illustrating still another configuration example of the cryptographic system to which the cryptographic apparatus according to the present embodiment is applied. In FIG. 3 to FIG. 5, as examples of terminals having the cryptographic processing function of the present invention, personal computers 7 to 9 installed with cryptographic software are cited, and security by encryption between the cryptographic device 1 and the personal computers 7 to 9 is given. An example of terminating the above has been described. The terminal having the cryptographic processing function is not limited to this example, and includes other cryptographic apparatuses having the same function as the cryptographic apparatus 1. FIG. 6 shows a configuration example in this case.

図6に示す例では、拠点A,Bの2つの拠点ネットワーク30A,30Bが、ルータ40A,40Bおよびインターネット20を介して接続されている。拠点Aネットワーク30Aの中は、パソコン31A〜33Aと暗号装置1A-1〜1A-3とにより企業内LANが構成されている。パソコン31A〜33Aは何れも暗号ソフトがインストールされていない端末である。また、暗号装置1A-1〜1A-3は何れも図3の暗号装置1と同様の機能を有するものであり、一方のポートにはパソコン31A〜33Aが接続され、他方のポートにはルータ40Aが接続されている。 In the example shown in FIG. 6, two base networks 30 </ b> A and 30 </ b> B of bases A and B are connected via routers 40 </ b> A and 40 </ b> B and the Internet 20. In the site A network 30A, personal computers 31A to 33A and encryption devices 1A- 1 to 1A - 3 constitute an in-house LAN. Each of the personal computers 31A to 33A is a terminal in which encryption software is not installed. Each of the encryption devices 1A- 1 to 1A - 3 has the same function as that of the encryption device 1 of FIG. 3, and the personal computers 31A to 33A are connected to one port, and the router 40A is connected to the other port. Is connected.

拠点Bネットワーク30Bの中も同様に、パソコン31B〜33Bと暗号装置1B-1〜1B-3とにより企業内LANが構成されている。パソコン31B〜33Bは何れも暗号ソフトがインストールされていない端末である。また、暗号装置1B-1〜1B-3は何れも図3の暗号装置1と同様の機能を有するものであり、一方のポートにはパソコン31B〜33Bが接続され、他方のポートにはルータ40Bが接続されている。 Similarly, in the base B network 30B, the personal computers 31B to 33B and the encryption devices 1B- 1 to 1B - 3 constitute an in-company LAN. All of the personal computers 31B to 33B are terminals on which no encryption software is installed. Each of the encryption devices 1B- 1 to 1B - 3 has the same function as that of the encryption device 1 of FIG. 3. The personal computers 31B to 33B are connected to one port, and the router 40B is connected to the other port. Is connected.

このような構成により、異なる拠点ネットワーク30A,30Bに属するパソコンの間では、暗号装置1A-1〜1A-3,1B-1〜1B-3を介してデータ通信が行われる。例えば、拠点Aネットワーク30A内にあるパソコン31Aから拠点Bネットワーク30B内にあるパソコン33Bにデータを送信するとき、暗号装置1A-1は、パソコン31Aから与えられたデータを暗号化し、ルータ40A、インターネット20およびルータ40Bを介して暗号装置1B-3に送信する。暗号装置1B-3は、受け取ったデータを復号化してパソコン33Bに供給する。これにより、異なる拠点ネットワーク30A,30B間で暗号を利用することができる。 With this configuration, data communication is performed between the personal computers belonging to the different base networks 30A and 30B via the encryption devices 1A- 1 to 1A - 3 and 1B- 1 to 1B - 3 . For example, when transmitting data from the personal computer 31A in the base A network 30A to the personal computer 33B in the base B network 30B, the encryption device 1A- 1 encrypts the data given from the personal computer 31A, and the router 40A, the Internet 20 and the router 40B to transmit to the encryption device 1B- 3 . The encryption device 1B- 3 decrypts the received data and supplies it to the personal computer 33B. Thereby, encryption can be used between the different base networks 30A and 30B.

また、例えば拠点Aネットワーク30Aの内部において、暗号ソフトがインストールされていないパソコン31A〜33Aどうしでは、暗号装置1A-1〜1A-3を介してデータ通信が行われる。例えば、あるパソコン31Aから他のパソコン33Aにデータを送るとき、暗号装置1A-1は、パソコン31Aから与えられたデータを暗号化し、暗号装置1A-3に送信する。暗号装置1A-3は、受け取ったデータを復号化してパソコン33Aに供給する。 Further, for example, in the base A network 30A, data communication is performed via the encryption devices 1A- 1 to 1A - 3 between the personal computers 31A to 33A in which the encryption software is not installed. For example, when data is transmitted from a personal computer 31A to another personal computer 33A, the encryption device 1A- 1 encrypts the data provided from the personal computer 31A and transmits the data to the encryption device 1A- 3 . The encryption device 1A- 3 decrypts the received data and supplies it to the personal computer 33A.

拠点Bネットワーク30Bの内部においても同様に、暗号ソフトがインストールされていないパソコン31B〜33Bどうしでは、暗号装置1B-1〜1B-3を介してデータ通信が行われる。例えば、あるパソコン31Bから他のパソコン33Bにデータを送るとき、暗号装置1B-1は、パソコン31Bから与えられたデータを暗号化し、暗号装置1B-3に送信する。暗号装置1B-3は、受け取ったデータを復号化してパソコン33Bに供給する。 Similarly, in the base B network 30B, data communication is performed via the encryption devices 1B- 1 to 1B - 3 between the personal computers 31B to 33B in which the encryption software is not installed. For example, when data is transmitted from a certain personal computer 31B to another personal computer 33B, the encryption device 1B- 1 encrypts the data provided from the personal computer 31B and transmits it to the encryption device 1B- 3 . The encryption device 1B- 3 decrypts the received data and supplies it to the personal computer 33B.

このように、暗号装置1A-1〜1A-3,1B-1〜1B-3は何れも、暗号ソフトがインストールされていないパソコン31A〜33A,31B〜33Bとの間では暗号化されていないデータの通信を行うとともに、暗号処理機能を有する端末である暗号装置1A-1〜1A-3,1B-1〜1B-3との間では暗号化されたデータの通信を行うために暗号化処理および暗号の復号化処理を行う。 As described above, the encryption devices 1A- 1 to 1A - 3 and 1B- 1 to 1B - 3 are not encrypted with the personal computers 31A to 33A and 31B to 33B in which the encryption software is not installed. performs the communication, the encryption process and for communicating data encrypted with the cryptographic device 1A -1 ~1A -3, 1B -1 ~1B -3 is a terminal having a cipher processing function Performs decryption processing of encryption.

以上のような暗号装置1A-1〜1A-3,1B-1〜1B-3をパソコン31A〜33A,31B〜33Bの直近にそれぞれ接続することにより、異なる拠点ネットワーク30A,30Bの間は当然として、暗号ソフトを有するパソコンが無い企業内LANの中でも暗号を利用することが可能となる。これにより、各拠点ネットワーク30A,30Bを、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性が少ないセキュアなネットワークとすることができる。 By connecting the encryption devices 1A -1 to 1A -3 and 1B -1 to 1B -3 as described above in the immediate vicinity of the personal computers 31A to 33A and 31B to 33B, it is natural that the different base networks 30A and 30B are connected. In addition, it is possible to use encryption even in an in-house LAN without a personal computer having encryption software. As a result, each of the base networks 30A and 30B can be a secure network with little risk of confidential information inside the LAN being stolen or falsified due to unauthorized intrusion or attack from the outside.

なお、上記図6の例では、各拠点ネットワーク30A,30Bは共に、暗号処理機能を有する端末(暗号装置1A-1〜1A-3,1B-1〜1B-3)を複数備えて構成されているが、少なくとも一方の拠点ネットワークが暗号処理機能を有する端末を1個だけ備える構成としても良い。例えば、拠点ネットワーク30Aの中を、1個のパソコン31Aと1個の暗号装置1A-1とを接続して構成しても良い。 In the example of FIG. 6 described above, each of the base networks 30A and 30B includes a plurality of terminals (encryption apparatuses 1A -1 to 1A -3 and 1B -1 to 1B -3 ) having a cryptographic processing function. However, at least one base network may have only one terminal having a cryptographic processing function. For example, the base network 30A may be configured by connecting one personal computer 31A and one cryptographic device 1A- 1 .

この場合は、図6に示した構成と同様に、異なる拠点ネットワーク30A,30B間で暗号を利用することができる。また、拠点ネットワーク30Aの中に関しては、暗号装置1A-1をパソコン31Aの直近に接続しておくことにより、当該拠点ネットワーク30Aの出入口と暗号装置1A-1との間で暗号を利用することができる。 In this case, similar to the configuration shown in FIG. 6, encryption can be used between the different base networks 30A and 30B. In addition, regarding the base network 30A, the encryption device 1A- 1 can be used between the gateway of the base network 30A and the encryption device 1A- 1 by connecting the encryption device 1A- 1 in the immediate vicinity of the personal computer 31A. it can.

また、上記図6の例では、2つの拠点ネットワーク30A,30Bをインターネット20で結び、各拠点ネットワーク30A,30B内に暗号装置1A-1〜1A-3,1B-1〜1B-3やパソコン31A〜33A,31B〜33Bをそれぞれ備える例について示したが、これに限定されない。 In the example of FIG. 6, the two base networks 30A and 30B are connected by the Internet 20, and the encryption devices 1A -1 to 1A -3 , 1B -1 to 1B -3 and the personal computer 31A are connected to the base networks 30A and 30B. Although shown about the example provided with -33A and 31B-33B, respectively, it is not limited to this.

例えば、1つの拠点ネットワーク内に暗号装置1A-1〜1A-3,1B-1〜1B-3およびパソコン31A〜33A,31B〜33Bを備え、暗号ソフトがインストールされていないパソコン31A〜33A,31B〜33Bの間におけるデータのやり取りを、暗号装置1A-1〜1A-3,1B-1〜1B-3を介して行うようにしても良い。この場合は、1つの拠点ネットワーク内において、少なくとも暗号装置1A-1〜1A-3,1B-1〜1B-3の間では暗号を利用することができる。 For example, the personal computers 31A to 33A and 31B that are provided with the encryption devices 1A- 1 to 1A - 3 , 1B- 1 to 1B - 3 and the personal computers 31A to 33A, 31B to 33B in one base network, and in which the encryption software is not installed. To 33B may be exchanged via the encryption devices 1A- 1 to 1A - 3 and 1B- 1 to 1B - 3 . In this case, within one branch network, at least the encryption device 1A -1 to 1A -3, is between 1B -1 ~1B -3 can utilize encryption.

また、これ以外にも、例えば図3の構成において、暗号ソフトがインストールされているパソコン7の代わりに、暗号ソフトがインストールされていないパソコンと暗号装置1とを用い、暗号装置1をハブ5に接続する構成としても良い。この場合は、暗号ソフトをインストールできないネットワークプリンタ2、DBサーバ3、ネットワークターミナル4などのデバイスと、暗号ソフトがインストールされていないパソコンとの間では、両者の直近に接続された暗号装置1を介して暗号通信をすることができる。   In addition to this, for example, in the configuration shown in FIG. 3, the encryption device 1 is used as the hub 5 by using a personal computer on which encryption software is not installed and the encryption device 1 instead of the personal computer 7 on which encryption software is installed. It is good also as a structure to connect. In this case, between devices such as the network printer 2, the DB server 3, and the network terminal 4 that cannot install encryption software, and a personal computer on which encryption software is not installed, the encryption device 1 that is connected immediately to both of them is used. Can be used for encrypted communication.

図7は、図3に示した暗号システムにおいて、暗号装置1およびこれに直接および間接的に接続されるDBサーバ3およびラップトップパソコン9におけるプロトコルの階層構造を示す図である。図7に示す例では、DBサーバ3には暗号ソフトがインストールされておらず(IP−Secがない)、ラップトップパソコン9には暗号ソフトがインストールされている(IP−Secを有する)。このDBサーバ3およびラップトップパソコン9の間に、本実施形態の暗号装置1が接続されている。ここでは、DBサーバ3にて保存されているデータを暗号装置1に送り、ここでデータを暗号化してパソコン9に送るような利用形態を想定している。   FIG. 7 is a diagram showing a hierarchical structure of protocols in the encryption device 1 and the DB server 3 and the laptop personal computer 9 directly and indirectly connected to the encryption device 1 in the encryption system shown in FIG. In the example shown in FIG. 7, encryption software is not installed in the DB server 3 (no IP-Sec), and encryption software is installed in the laptop personal computer 9 (has IP-Sec). Between the DB server 3 and the laptop personal computer 9, the encryption device 1 of this embodiment is connected. Here, it is assumed that the data stored in the DB server 3 is sent to the encryption device 1, where the data is encrypted and sent to the personal computer 9.

図7に示すように、DBサーバ3およびパソコン9はそれぞれ1つのポート31,32を有し、その中継機となる暗号装置1は2つのポート33,34を有している。暗号装置1の各ポート33,34に対して物理層およびMAC層(データリンク層)が個別に設けられ、各ポート33,34に共通なものとしてIP−Sec(暗号/復号処理機能)、IP層(ネットワーク層)およびTCP/UDP層(トランスポート層)が設けられている。このように、本実施形態の暗号装置1は、IP−Secにより2つのポート33,34間をブリッジさせているところに特徴がある。   As shown in FIG. 7, the DB server 3 and the personal computer 9 each have one port 31, 32, and the encryption device 1 serving as the relay device has two ports 33, 34. The physical layer and the MAC layer (data link layer) are individually provided for the ports 33 and 34 of the encryption device 1, and the IP-Sec (encryption / decryption processing function) and IP are common to the ports 33 and 34, respectively. A layer (network layer) and a TCP / UDP layer (transport layer) are provided. As described above, the encryption device 1 of the present embodiment is characterized in that the two ports 33 and 34 are bridged by IP-Sec.

ここで「ブリッジする」とは、一のポートより入力され暗号化処理または復号化処理が施されたデータを、ルーティング処理をすることなく他のポートにそのまま出力することを言う。図7の例では、第1のポート33より入力されたデータに対してIP−Secで暗号化処理を行い、それにより得られたデータを、IP層にてルーティングすることなく(IP層に渡すことなく)他方のポートにそのまま渡して出力することが、「ブリッジする」ということに相当する。このように、本実施形態の暗号装置1では、DBサーバ3とパソコン9との間におけるデータ転送に関してはIP層およびTCP/UDP層は用いず、IP層よりも下位層で処理を行う。   Here, “bridging” refers to outputting data input from one port and subjected to encryption processing or decryption processing to another port without performing routing processing. In the example of FIG. 7, the data input from the first port 33 is encrypted by IP-Sec, and the obtained data is passed to the IP layer without being routed in the IP layer. (Without) passing to the other port as it is and outputting it is equivalent to “bridging”. As described above, in the encryption device 1 according to the present embodiment, the data transfer between the DB server 3 and the personal computer 9 does not use the IP layer and the TCP / UDP layer, but performs processing in a lower layer than the IP layer.

すなわち、DBサーバ3にて作成されたパケットデータは、当該DBサーバ3のMAC層、物理層を通って送信され、暗号装置1の第1のポート33より受信される。受信されたパケットデータは物理層、MAC層を通ってIP−Secに渡され、ここで暗号化処理が行われる。この暗号化されたパケットデータは、MAC層および物理層を通って第2のポート34より送信される。   That is, the packet data created by the DB server 3 is transmitted through the MAC layer and the physical layer of the DB server 3 and is received from the first port 33 of the encryption device 1. The received packet data is passed to the IP-Sec through the physical layer and the MAC layer, where encryption processing is performed. The encrypted packet data is transmitted from the second port 34 through the MAC layer and the physical layer.

第2のポート34より送信されたパケットデータは、パソコン9で受信され、物理層、MAC層を通ってIP−Secに渡されて、暗号が復号化される。そして、復号化されたデータがIP層を通って図示しないアプリケーション層に渡される。これにより、DBサーバ3が暗号ソフトを備えていなくても、パソコン9に対して暗号化されたデータを送信することが可能となる。   The packet data transmitted from the second port 34 is received by the personal computer 9, passed to the IP-Sec through the physical layer and the MAC layer, and the encryption is decrypted. Then, the decrypted data is passed through the IP layer to an application layer (not shown). Thereby, even if the DB server 3 does not include encryption software, it becomes possible to transmit the encrypted data to the personal computer 9.

なお、本実施形態においてIP層およびTCP/UDP層は、暗号装置1自身に暗号化/復号化に関する各種の情報を設定する際に利用される。例えば、ある端末とある端末との間では暗号通信を行うが、他の端末との間では暗号通信を行わないなどといった暗号/復号処理の有無、ある端末とある端末との間ではパケットを破棄するなどといった通信の可否、暗号通信を行う場合における暗号化のレベル、暗号化を行う時間帯、暗号鍵などに関する種々の情報を暗号装置1に設定する場合には、IP層およびTCP/UDP層を使用する。   In the present embodiment, the IP layer and the TCP / UDP layer are used when various types of information regarding encryption / decryption are set in the encryption device 1 itself. For example, there is encryption / decryption processing such as performing encrypted communication between a certain terminal and a certain terminal but not performing encrypted communication with other terminals, and discarding packets between a certain terminal and a certain terminal. In the case where various information relating to whether or not communication is possible, encryption level in case of performing encryption communication, time zone for encryption, encryption key, etc. is set in the encryption device 1, the IP layer and the TCP / UDP layer Is used.

この種の設定情報は、IP−Secブリッジの機能によってメモリ上に保持される。IP−Secは、当該メモリに保持されている設定情報と、ポート33,34より入力されたパケットに付加されているヘッダ情報(例えば、送信元IPアドレスおよび宛先IPアドレス)とを照合して、暗号/復号処理の制御などを行う。   This type of setting information is held on the memory by the function of the IP-Sec bridge. The IP-Sec collates the setting information held in the memory with the header information (for example, the source IP address and the destination IP address) added to the packet input from the ports 33 and 34. Controls encryption / decryption processing.

このように、本実施形態の暗号装置1では、一のポートから入力されたデータをIP−Secで暗号化/復号化し、これにより得られたデータをIP層に渡すことなく、ルーティング処理をせずにそのまま他のポートに転送するようにしているので、データ通信時に暗号装置1のIPアドレスを不要とすることができる。すなわち、IPアドレスを持たずにIP層の暗号/復号処理を行うことが可能である。そのため、暗号装置1自身に対する煩雑なIPアドレス設定の必要をなくすことができる。   As described above, in the encryption device 1 of the present embodiment, data input from one port is encrypted / decrypted by IP-Sec, and routing processing is performed without passing the obtained data to the IP layer. Therefore, the IP address of the encryption device 1 can be made unnecessary at the time of data communication. That is, it is possible to perform IP layer encryption / decryption processing without having an IP address. Therefore, it is possible to eliminate the need for complicated IP address setting for the encryption device 1 itself.

また、暗号装置1の両側に接続される端末は同じネットワークに属することになり、暗号装置1の入力ポートと出力ポートとでIPアドレスが変わることがなくなる。これにより、暗号装置1のネットワーク上における接続の有無に関わりなく、IPアドレスの透過性を保つことができる。すなわち、ネットワーク上に暗号装置1を接続したり、ネットワーク上から暗号装置1を外したりする際に、当該暗号装置1に接続される端末のアドレス設定も変更する必要がない。   Further, the terminals connected to both sides of the encryption device 1 belong to the same network, and the IP address does not change between the input port and the output port of the encryption device 1. Thereby, the transparency of the IP address can be maintained regardless of whether or not the encryption device 1 is connected on the network. That is, when the encryption device 1 is connected to the network or the encryption device 1 is removed from the network, it is not necessary to change the address setting of the terminal connected to the encryption device 1.

例えば、図7のようにDBサーバ3とパソコン9との間に暗号装置1を挿入した場合も、暗号装置1を挿入せずにDBサーバ3とパソコン9との間で直接通信を行う場合も、DBサーバ3とパソコン9との間を流れるパケットのIPアドレスは、図8に示す通りのままで不変である。したがって、暗号装置1の接続の有無によってアドレス設定を何ら変更する必要がない。   For example, when the encryption device 1 is inserted between the DB server 3 and the personal computer 9 as shown in FIG. 7 or when the direct communication is performed between the DB server 3 and the personal computer 9 without inserting the encryption device 1. The IP address of the packet flowing between the DB server 3 and the personal computer 9 remains unchanged as shown in FIG. Therefore, there is no need to change the address setting depending on whether or not the encryption device 1 is connected.

これにより、ネットワークシステムの導入時やメンテナンス時には、本実施形態の暗号装置1を適当な箇所にただ挿入したり、あるいはただ取り外したりするだけ良くなり、煩雑なアドレス設定は行う必要がないので、作業負荷を大幅に削減することができる。   Thereby, at the time of introduction or maintenance of the network system, it is only necessary to insert or remove the encryption device 1 of this embodiment in an appropriate place, and it is not necessary to perform complicated address setting. The load can be greatly reduced.

さらに、本実施形態の場合、MACアドレスについても透過性を保つことができる。図9は、DBサーバ3からパソコン9にデータを送り、その間の暗号装置1でデータを暗号化する場合におけるパケットを示す図である。また、図10は、本実施形態との比較のために、図1に示す従来のシステムにおいて一方のパソコン101から他方のパソコン102にデータを送り、その間のVPNルータ103でデータを暗号化する場合におけるパケットを示す図である。   Further, in the case of this embodiment, it is possible to maintain transparency even for the MAC address. FIG. 9 is a diagram showing a packet when data is sent from the DB server 3 to the personal computer 9 and the data is encrypted by the encryption device 1 during that time. For comparison with the present embodiment, FIG. 10 shows a case where data is transmitted from one personal computer 101 to the other personal computer 102 in the conventional system shown in FIG. FIG.

図9(a)および図10(a)は第1のポート33,107にて受信するパケットを示し、図9(b)および図10(b)は第2のポート34,108より送信するパケットを示す。なお、IP−Secには、データ部のみを暗号化するトランスポートモードと、パケット全てを暗号化して更に新しいヘッダを追加するトンネルモードとがある。送信パケットに関しては、これら2つのモードについてそれぞれ示している。   FIGS. 9A and 10A show packets received at the first ports 33 and 107, and FIGS. 9B and 10B show packets transmitted from the second ports 34 and 108. FIG. Indicates. IP-Sec has a transport mode in which only the data part is encrypted, and a tunnel mode in which all packets are encrypted and a new header is added. Regarding the transmission packet, these two modes are shown respectively.

図9から明らかなように、本実施形態によれば、IPアドレスだけでなく、MACアドレスについても第1のポート33と第2のポート34とで異なることがなく、MACアドレスの透過性を保つことができる。すなわち、本実施形態の暗号装置1は、IP−Secを有してデータの暗号/復号処理を行うことを除けば、一方のポートから入力されたデータを他方のポートにただ流すだけなので、データ通信時にはMACアドレスも不要とすることができる。   As apparent from FIG. 9, according to the present embodiment, not only the IP address but also the MAC address is not different between the first port 33 and the second port 34, and the MAC address transparency is maintained. be able to. That is, the encryption apparatus 1 of the present embodiment simply passes data input from one port to the other port except for having the IP-Sec and performing data encryption / decryption processing. A MAC address can be made unnecessary during communication.

なお、上記実施形態ではOSI参照モデルの第3層に当たるネットワーク層の例としてIP層を挙げたが、このIP層は、ノベル社のネットワークOSが使用するプロトコルであるIPX(Internetwork Packet eXchange)層であっても良い。また、IP−Secが利用可能なものであれば、他のプロトコルであっても良い。   In the above embodiment, the IP layer is given as an example of the network layer corresponding to the third layer of the OSI reference model. This IP layer is an IPX (Internetwork Packet eXchange) layer that is a protocol used by the Novell network OS. There may be. Other protocols may be used as long as IP-Sec can be used.

その他、以上に説明した実施形態は、本発明を実施するにあたっての具体化の一例を示したものに過ぎず、これによって本発明の技術的範囲が限定的に解釈されてはならないものである。すなわち、本発明はその精神、またはその主要な特徴から逸脱することなく、様々な形で実施することができる。   In addition, the embodiment described above is merely an example of actualization in carrying out the present invention, and the technical scope of the present invention should not be construed in a limited manner. In other words, the present invention can be implemented in various forms without departing from the spirit or main features thereof.

本発明は、専用の暗号ソフトをインストールできない端末を有する企業内LANの中でも暗号を利用して、外部からの不正侵入や攻撃によってLAN内部の機密情報が盗まれたり改ざんされたりする危険性を低減できるようにするのに有用である。また、本発明は、アドレス設定などの煩雑な作業を行うことなく、企業内LANで暗号を利用できるようにするのに有用である。   The present invention reduces the risk of confidential information inside the LAN being stolen or falsified by unauthorized intrusion or attack from the outside by using encryption even in an in-house LAN having terminals that cannot install dedicated encryption software. Useful to be able to. Further, the present invention is useful for enabling encryption to be used in a corporate LAN without performing complicated work such as address setting.

Claims (11)

少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される複数のポートと、
上記暗号処理機能を有する端末との間で暗号化によるセキュリティを終端するためにデータの暗号化処理および復号化処理を行う暗号/復号手段と、
上記複数のポートのうち一のポートより入力され上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ネットワーク層でルーティング処理をすることなく他のポートにそのまま出力するブリッジ手段とを備え
上記ブリッジ手段は上記ネットワーク層より下層に存在することを特徴とする暗号装置。 A plurality of ports to which a terminal having a cryptographic processing function is directly or indirectly connected to at least one port;
Encryption / decryption means for performing encryption processing and decryption processing of data in order to terminate security by encryption with a terminal having the encryption processing function;
Bridge means for outputting data inputted from one of the plurality of ports and subjected to encryption processing or decryption processing by the encryption / decryption means to other ports without performing routing processing in the network layer It equipped with a door,
The encryption device characterized in that the bridge means exists below the network layer . 上記暗号/復号手段は、上記暗号処理機能を有する端末との間では暗号化されたデータの通信を行うとともに、暗号処理機能を有しない端末との間では暗号化されていないデータの通信を行うために上記暗号化処理および上記復号化処理を行うことを特徴とする請求項1に記載の暗号装置。The encryption / decryption means performs communication of encrypted data with a terminal having the encryption processing function and communication of unencrypted data with a terminal having no encryption processing function. The encryption apparatus according to claim 1 , wherein the encryption process and the decryption process are performed for the purpose. 上記暗号/復号手段は、暗号処理機能を有する端末から送られてきた暗号化済みのデータを暗号処理機能を有しない他の端末に送信するときは、上記暗号化済みのデータを復号化して上記暗号処理機能を有しない他の端末に送信し、暗号処理機能を有しない端末から送られてきた未暗号化のデータを暗号処理機能を有する他の端末に送信するときは、上記未暗号化のデータを暗号化して上記暗号処理機能を有する他の端末に送信することを特徴とする請求項2に記載の暗号装置。The encryption / decryption means decrypts the encrypted data and transmits the encrypted data sent from the terminal having the encryption processing function to another terminal not having the encryption processing function. When sending unencrypted data sent from another terminal that does not have an encryption processing function to another terminal that does not have an encryption processing function, 3. The encryption apparatus according to claim 2, wherein data is encrypted and transmitted to another terminal having the encryption processing function. 上記ブリッジ手段はIP−Secによるブリッジであり、データ通信処理が上記ネットワーク層より下層において行われることを特徴とする請求項1に記載の暗号装置。2. The encryption apparatus according to claim 1, wherein the bridge means is an IP-Sec bridge, and data communication processing is performed in a layer lower than the network layer. 少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される複数のポートと、
上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行う暗号/復号手段と、
上記暗号/復号手段により暗号化処理または復号化処理が施されたデータを、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにするブリッジ手段とを備え
上記ブリッジ手段は上記ネットワーク層より下層に存在することを特徴とする暗号装置。 A plurality of ports to which a terminal having a cryptographic processing function is directly or indirectly connected to at least one port;
Encryption / decryption means for performing encryption processing or decryption processing on data input from one port among the plurality of ports and passed through the physical layer and the data link layer;
Data that has been encrypted or decrypted by the encryption / decryption means is output from another port via the data link layer and physical layer without passing to the network layer that performs routing control between networks. and a bridge means that,
The encryption device characterized in that the bridge means exists below the network layer . 上記暗号化処理および上記復号化処理の制御に関する設定情報を記憶する設定情報記憶手段を備え、
上記暗号/復号手段は、上記設定情報記憶手段に記憶されている設定情報と、上記一のポートより入力されたパケットに付加されているヘッダ情報とを照合して上記暗号化処理および上記復号化処理の制御を行うことを特徴とする請求項5に記載の暗号装置。Setting information storage means for storing setting information related to the control of the encryption process and the decryption process;
The encryption / decryption unit compares the setting information stored in the setting information storage unit with the header information added to the packet input from the one port, and performs the encryption process and the decryption. The encryption apparatus according to claim 5 , wherein the process is controlled. 上記ブリッジ手段はIP−Secによるブリッジであり、データ通信処理が上記ネットワーク層より下層において行われることを特徴とする請求項5に記載の暗号装置。6. The encryption apparatus according to claim 5, wherein the bridge means is an IP-Sec bridge, and data communication processing is performed below the network layer. 複数のポートを有し、少なくとも1つのポートに暗号処理機能を有する端末が直接または間接的に接続される暗号装置において暗号化処理または復号化処理を行う方法であって、
上記複数のポートのうち一のポートより入力され物理層およびデータリンク層を介して渡されたデータに対して暗号化処理または復号化処理を行い、これにより得られたデータを、ネットワーク層より下層に存在するブリッジ手段を介して、ネットワーク間のルーティング制御を行うネットワーク層に渡すことなくデータリンク層および物理層を介して他のポートより出力するようにしたことを特徴とする暗号方法。A method of performing an encryption process or a decryption process in an encryption device having a plurality of ports and a terminal having an encryption processing function connected to at least one port directly or indirectly,
Performs encryption processing or decryption processing on data passed via the physical layer and data link layer is input from one port of the plurality of ports, the data obtained by this, lower than the network layer The encryption method is characterized in that the data is output from another port via the data link layer and the physical layer without passing to the network layer that performs routing control between networks via the bridge means existing in the network. 上記ブリッジ手段はIP−Secによるブリッジであり、データ通信処理が上記ネットワーク層より下層において行われることを特徴とする請求項8に記載の暗号方法。9. The encryption method according to claim 8, wherein the bridge means is an IP-Sec bridge, and data communication processing is performed in a layer lower than the network layer. 請求項1に記載の暗号装置と、
上記暗号装置に対して無線または有線のネットワークを介して接続可能な、暗号処理機能を有する端末とを備えたことを特徴とする暗号システム。 A cryptographic device according to claim 1;
A cryptographic system comprising: a terminal having a cryptographic processing function that is connectable to the cryptographic apparatus via a wireless or wired network . 暗号処理機能を有する端末と、
暗号処理機能を有しない端末と、
上記暗号処理機能を有する端末と上記暗号処理機能を有しない端末との間に無線または有線のネットワークを介して接続可能な、請求項2に記載の暗号装置とを備えたことを特徴とする暗号システム。 A terminal having a cryptographic processing function;
A terminal that does not have a cryptographic processing function;
An encryption device comprising: the encryption device according to claim 2, which is connectable between a terminal having the encryption processing function and a terminal not having the encryption processing function via a wireless or wired network. system.
JP2004504450A 2002-05-09 2003-04-24 Cryptographic apparatus and method, and cryptographic system Expired - Fee Related JP4615308B2 (en)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
JP2002134680 2002-05-09
JP2002134680 2002-05-09
PCT/JP2003/005265 WO2003096612A1 (en) 2002-05-09 2003-04-24 Encryption device, encryption method, and encryption system

Publications (2)

Publication Number Publication Date
JPWO2003096612A1 JPWO2003096612A1 (en) 2005-09-15
JP4615308B2 true JP4615308B2 (en) 2011-01-19

Family

ID=29416719

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004504450A Expired - Fee Related JP4615308B2 (en) 2002-05-09 2003-04-24 Cryptographic apparatus and method, and cryptographic system

Country Status (7)

Country Link
US (1) US20050021949A1 (en)
EP (1) EP1503536A1 (en)
JP (1) JP4615308B2 (en)
KR (1) KR100976750B1 (en)
CN (1) CN100571131C (en)
TW (1) TWI274487B (en)
WO (1) WO2003096612A1 (en)

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2002084499A1 (en) * 2001-04-11 2002-10-24 Chelsio Communications, Inc. Multi-purpose switching network interface controller
KR20060044049A (en) * 2004-11-11 2006-05-16 한국전자통신연구원 Security router system and method for authentication of the user who connects the system
US20060126520A1 (en) * 2004-12-15 2006-06-15 Cisco Technology, Inc. Tape acceleration
US20060251255A1 (en) * 2005-04-20 2006-11-09 Puneet Batta System and method for utilizing a wireless communication protocol in a communications network
US8527741B2 (en) * 2005-07-05 2013-09-03 Viasat, Inc. System for selectively synchronizing high-assurance software tasks on multiple processors at a software routine level
US8190877B2 (en) * 2005-07-05 2012-05-29 Viasat, Inc. Trusted cryptographic processor
US7715436B1 (en) 2005-11-18 2010-05-11 Chelsio Communications, Inc. Method for UDP transmit protocol offload processing with traffic management
US8069270B1 (en) 2005-09-06 2011-11-29 Cisco Technology, Inc. Accelerated tape backup restoration
US8250151B2 (en) * 2005-10-12 2012-08-21 Bloomberg Finance L.P. System and method for providing secure data transmission
US8266431B2 (en) * 2005-10-31 2012-09-11 Cisco Technology, Inc. Method and apparatus for performing encryption of data at rest at a port of a network device
WO2008007432A1 (en) * 2006-07-13 2008-01-17 T T T Kabushikikaisha Relay device
US8312507B2 (en) 2006-10-17 2012-11-13 A10 Networks, Inc. System and method to apply network traffic policy to an application session
US8584199B1 (en) 2006-10-17 2013-11-12 A10 Networks, Inc. System and method to apply a packet routing policy to an application session
US8908700B2 (en) 2007-09-07 2014-12-09 Citrix Systems, Inc. Systems and methods for bridging a WAN accelerator with a security gateway
JP5239502B2 (en) * 2007-11-07 2013-07-17 株式会社明電舎 Bridging system, bridging and bridging method
US8464074B1 (en) 2008-05-30 2013-06-11 Cisco Technology, Inc. Storage media encryption with write acceleration
US8726007B2 (en) * 2009-03-31 2014-05-13 Novell, Inc. Techniques for packet processing with removal of IP layer routing dependencies
US20100278338A1 (en) * 2009-05-04 2010-11-04 Mediatek Singapore Pte. Ltd. Coding device and method with reconfigurable and scalable encryption/decryption modules
CN101958791B (en) * 2009-07-16 2014-05-14 上海前沿计算机科技有限公司 Encryption and decryption method for module
US8139277B2 (en) * 2010-01-20 2012-03-20 Palo Alto Research Center. Incorporated Multiple-source multiple-beam polarized laser scanning system
JP5605197B2 (en) * 2010-12-09 2014-10-15 ソニー株式会社 Cryptographic processing apparatus, cryptographic processing method, and program
US9118618B2 (en) 2012-03-29 2015-08-25 A10 Networks, Inc. Hardware-based packet editor
US9338225B2 (en) 2012-12-06 2016-05-10 A10 Networks, Inc. Forwarding policies on a virtual service network
US10038693B2 (en) 2013-05-03 2018-07-31 A10 Networks, Inc. Facilitating secure network traffic by an application delivery controller
US9942152B2 (en) * 2014-03-25 2018-04-10 A10 Networks, Inc. Forwarding data packets using a service-based forwarding policy
US10268467B2 (en) 2014-11-11 2019-04-23 A10 Networks, Inc. Policy-driven management of application traffic for providing services to cloud-based applications
US10044502B2 (en) 2015-07-31 2018-08-07 Nicira, Inc. Distributed VPN service
US10567347B2 (en) 2015-07-31 2020-02-18 Nicira, Inc. Distributed tunneling for VPN
KR102212859B1 (en) * 2020-01-28 2021-02-05 (주)모니터랩 Proxy-based security system and traffic processing method in Asynchronous Redundancy Environment
US11265296B1 (en) * 2021-05-11 2022-03-01 Roqos, Inc. System and method to create and implement virtual private networks over internet for multiple internet access types

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07107082A (en) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> Cipher gateway device
JPH07245606A (en) * 1994-03-02 1995-09-19 Nec Corp Interface converter
JPH1155322A (en) * 1997-06-02 1999-02-26 Mitsubishi Electric Corp Cipher communication system
JPH11239184A (en) * 1998-02-23 1999-08-31 Matsushita Electric Works Ltd Switching hub
JP2000502219A (en) * 1995-11-15 2000-02-22 サイエンティフィック−アトランタ・インコーポレーテッド Apparatus and method for encrypting MPEG packets
JP2002134680A (en) * 2000-10-26 2002-05-10 Sanyo Electric Co Ltd Manufacturing method of hybrid integrated circuit device

Family Cites Families (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4368357A (en) * 1980-11-14 1983-01-11 International Telephone And Telegraph Corporation Bypass apparatus for use in secure communication systems
US5253293A (en) * 1988-01-23 1993-10-12 Secom Co., Ltd. Adaptive data ciphering/deciphering apparatuses and data communication system using these apparatuses
DE3831215A1 (en) * 1988-09-14 1990-03-22 Standard Elektrik Lorenz Ag NETWORK TRANSFER DEVICE AND TELECOMMUNICATION DEVICE
JP3103850B2 (en) * 1989-03-07 2000-10-30 アイシン精機株式会社 Secret communication control device
US5500860A (en) * 1991-06-14 1996-03-19 Digital Equipment Corporation Router using multiple hop redirect messages to enable bridge like data forwarding
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
US5442708A (en) * 1993-03-09 1995-08-15 Uunet Technologies, Inc. Computer network encryption/decryption device
US5444782A (en) * 1993-03-09 1995-08-22 Uunet Technologies, Inc. Computer network encryption/decryption device
US5404394A (en) * 1993-05-24 1995-04-04 Comsat Corporation Secure communication system
JPH07131450A (en) * 1993-10-28 1995-05-19 Canon Inc Communication controller
US5386471A (en) * 1994-01-25 1995-01-31 Hughes Aircraft Company Method and apparatus for securely conveying network control data across a cryptographic boundary
US5548646A (en) * 1994-09-15 1996-08-20 Sun Microsystems, Inc. System for signatureless transmission and reception of data packets between computer networks
US5548649A (en) * 1995-03-28 1996-08-20 Iowa State University Research Foundation Network security bridge and associated method
JP3446482B2 (en) * 1996-06-28 2003-09-16 三菱電機株式会社 Encryption device
FI108827B (en) * 1998-01-08 2002-03-28 Nokia Corp A method for implementing connection security in a wireless network
US6640248B1 (en) * 1998-07-10 2003-10-28 Malibu Networks, Inc. Application-aware, quality of service (QoS) sensitive, media access control (MAC) layer
US6490273B1 (en) * 1998-08-05 2002-12-03 Sprint Communications Company L.P. Asynchronous transfer mode architecture migration
KR100282403B1 (en) * 1998-08-20 2001-02-15 서평원 Method for transmitting radio link protocol frames in a mobile radio communication system
DE60045546D1 (en) * 1999-02-19 2011-03-03 Nokia Siemens Networks Oy NETWORK ARRANGEMENT FOR COMMUNICATION
US6862583B1 (en) * 1999-10-04 2005-03-01 Canon Kabushiki Kaisha Authenticated secure printing
US6963982B1 (en) * 1999-10-28 2005-11-08 Lucent Technologies Inc. Method and apparatus for application-independent end-to-end security in shared-link access networks
JP3259724B2 (en) * 1999-11-26 2002-02-25 三菱電機株式会社 Cryptographic device, encryptor and decryptor
US6952780B2 (en) * 2000-01-28 2005-10-04 Safecom A/S System and method for ensuring secure transfer of a document from a client of a network to a printer
US6631417B1 (en) * 2000-03-29 2003-10-07 Iona Technologies Plc Methods and apparatus for securing access to a computer
US7076651B2 (en) * 2000-05-01 2006-07-11 Safenet, Inc. System and method for highly secure data communications
US6708218B1 (en) * 2000-06-05 2004-03-16 International Business Machines Corporation IpSec performance enhancement using a hardware-based parallel process
US7111163B1 (en) * 2000-07-10 2006-09-19 Alterwan, Inc. Wide area network using internet with quality of service
US20020073212A1 (en) * 2000-11-13 2002-06-13 Sokol Daniel D. Wireless web browsing terminal and hub
US20030058274A1 (en) * 2000-11-17 2003-03-27 Jake Hill Interface device
US7080248B1 (en) * 2001-04-23 2006-07-18 At&T Corp. System providing dynamic quality of service signaling messages in a cable telephony network
US7017042B1 (en) * 2001-06-14 2006-03-21 Syrus Ziai Method and circuit to accelerate IPSec processing
US7853781B2 (en) * 2001-07-06 2010-12-14 Juniper Networks, Inc. Load balancing secure sockets layer accelerator
JP2003101523A (en) * 2001-09-21 2003-04-04 Fujitsu Ltd Communication network system and communication method having concealment function
DE60127681T2 (en) * 2001-10-19 2008-01-03 Sony Corp. Content protection and copy management system for a network
US20030106067A1 (en) * 2001-11-30 2003-06-05 Hoskins Steve J. Integrated internet protocol (IP) gateway services in an RF cable network
US7181616B2 (en) * 2001-12-12 2007-02-20 Nortel Networks Limited Method of and apparatus for data transmission
JP4368637B2 (en) * 2003-08-05 2009-11-18 株式会社リコー Multi-function MFP, server, environmental load reduction method, and program
US7769994B2 (en) * 2003-08-13 2010-08-03 Radware Ltd. Content inspection in secure networks
JP3944182B2 (en) * 2004-03-31 2007-07-11 キヤノン株式会社 Security communication method

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH07107082A (en) * 1993-10-06 1995-04-21 Nippon Telegr & Teleph Corp <Ntt> Cipher gateway device
JPH07245606A (en) * 1994-03-02 1995-09-19 Nec Corp Interface converter
JP2000502219A (en) * 1995-11-15 2000-02-22 サイエンティフィック−アトランタ・インコーポレーテッド Apparatus and method for encrypting MPEG packets
JPH1155322A (en) * 1997-06-02 1999-02-26 Mitsubishi Electric Corp Cipher communication system
JPH11239184A (en) * 1998-02-23 1999-08-31 Matsushita Electric Works Ltd Switching hub
JP2002134680A (en) * 2000-10-26 2002-05-10 Sanyo Electric Co Ltd Manufacturing method of hybrid integrated circuit device

Also Published As

Publication number Publication date
WO2003096612A1 (en) 2003-11-20
CN1653744A (en) 2005-08-10
CN100571131C (en) 2009-12-16
TWI274487B (en) 2007-02-21
EP1503536A1 (en) 2005-02-02
JPWO2003096612A1 (en) 2005-09-15
KR100976750B1 (en) 2010-08-18
KR20040104486A (en) 2004-12-10
TW200307423A (en) 2003-12-01
US20050021949A1 (en) 2005-01-27

Similar Documents

Publication Publication Date Title
JP4615308B2 (en) Cryptographic apparatus and method, and cryptographic system
US7536715B2 (en) Distributed firewall system and method
JP3783142B2 (en) Communication system, communication device, communication method, and communication program for realizing the same
US8041824B1 (en) System, device, method and software for providing a visitor access to a public network
JP5060081B2 (en) Relay device that encrypts and relays frames
JP4407452B2 (en) Server, VPN client, VPN system, and software
US20020083344A1 (en) Integrated intelligent inter/intra networking device
US20100077203A1 (en) Relay device
JP4594081B2 (en) Centralized management system for encryption
US20050220091A1 (en) Secure remote mirroring
US20070058654A1 (en) Arrangement and coupling device for securing data access
EP1290852A2 (en) Distributed firewall system and method
JP4757088B2 (en) Relay device
JP4783665B2 (en) Mail server device
JP2006295401A (en) Relaying apparatus
JP2007019633A (en) Relay connector device and semiconductor circuit device
KR20090032072A (en) Relay device
JP2007324727A (en) Ftp communication system, ftp communication program, ftp client apparatus, and ftp server apparatus
JP2007019632A (en) Communication board and communication method
WO2004012386A1 (en) Encryption system and encryption device

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060419

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20080515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20080515

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A711

Effective date: 20081021

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20081021

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090908

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091201

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100223

RD02 Notification of acceptance of power of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7422

Effective date: 20100628

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100928

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20101020

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20131029

Year of fee payment: 3

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees